Wingify se toma en serio la seguridad de sus sistemas y valora la comunidad de la seguridad. La transparencia responsable con respecto a las vulnerabilidades de seguridad ayuda a Wingify a garantizar la seguridad y privacidad de sus usuarios.
Pautas generales
Wingify requiere que todos los investigadores:
- Se esfuercen al máximo para evitar violaciones de la privacidad, degradación de la experiencia de usuario, la disrupción en los sistemas de producción y la destrucción de los datos durante el testing de seguridad.
- Lleven a cabo la investigación dentro del marco establecido a continuación.
- Usen los canales de comunicación identificados para informarnos sobre la vulnerabilidad de la información.
- Cualquier información que recibas o recopiles sobre Wingify, sus clientes o cualquiera de sus usuarios, empleados o agentes en relación con esta política («Información confidencial») debe seguir siendo confidencial. No debes usar, desvelar, publicar o distribuir esta información confidencial ni ningún detalle de vulnerabilidades sin previa autorización por escrito de Wingify.
Si sigues estas pautas generales al informar de un problema, Wingify se compromete a:
- No emprender o apoyar acciones legales relacionadas con tu investigación.
- Trabajar contigo para comprender y resolver el problema con rapidez (incluyendo una confirmación inicial de tu informe durante las 72 horas laborales siguientes a su envío).
- Reconocer tu contribución en nuestro Salón de la fama de investigadores de seguridad (en construcción) si eres el primero en informar del problema y si realizamos un cambio de código o configuración basado en este.
Alcance
- vwo.com
- app.vwo.com
Fuera del alcance
Se excluye del alcance cualquier servicio alojado por proveedores o servicios externos.
Para garantizar la seguridad de los usuarios de Wingify, del personal, de todo Internet y la tuya como investigador de seguridad, se excluyen del alcance los siguientes tipos de test:
- Denegación de servicio
- Spamming
- Ingeniería social (incluyendo el phishing) del personal de VWO o colaboradores externos
- Cualquier intento de acción física contra la propiedad de VWO o sus centros de datos
- Redireccionamiento o inyección de contenido
- Self-XSS [para que sean válidos, los problemas de scripting entre sitios deben poder explotarse en tipos almacenados, reflejados o basados en DOM]
- Cierre de sesión y otras instancias de falsificación de solicitud entre sitios de gravedad baja
- Redirecciones abiertas con impacto de gravedad baja (se exceptúan los casos en los que el impacto es más alto, como en los robos de tokens de OAuth)
- Encabezados de seguridad HTTP faltantes
- Avisos de cookies faltantes en cookies no confidenciales
- Políticas de recuperación de contraseña y cuenta, como caducidad de enlaces de restablecimiento de contraseñas o complejidad de las contraseñas
- Registros SPF (Sender Policy Framework) inválidos o faltantes (incompletos o con SPF o DKIM faltantes)
- Mejores prácticas de SSL y TLS
- Ataques de reparación de la interfaz de usuario, también conocidos como clickjacking, sin impacto de seguridad práctico
- Enumeración de correos electrónicos o usuarios mediante mensajes de error de página de contraseña olvidada o de inicio de sesión
Detalles que no quiere recibir Wingify
- Información de identificación personal
- Datos de titulares de tarjetas de crédito
¿Cómo informar sobre una vulnerabilidad de seguridad?
Si crees que has encontrado una vulnerabilidad de seguridad en uno de los productos o plataformas de Wingify, envíanosla por correo electrónico a [email protected]. Incluye la siguiente información con tu informe:
- Descripción de la ubicación y posible impacto de la vulnerabilidad;
- Descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (nos resultan útiles elementos como scripts POC, capturas de pantalla y capturas de pantalla comprimidas);
- Tu nombre o usuario y un enlace para reconocer tus esfuerzos e nuestro Salón de la fama.
Si deseas cifrar la información, usa nuestra clave PGP.
Salón de la fama
En Wingify, usamos nuestro programa de Salón de la fama para reconocer a las personas que han compartido de forma responsable una o varias vulnerabilidades de seguridad en nuestros productos, ya que nos permite ofrecer un mejor servicio a nuestros clientes. Puedes obtener más información en el Salón de la fama de investigadores de seguridad.